スキップしてメイン コンテンツに移動

従業員のミスや不正行為がきっかけとなる情報漏えいと対策

 

従業員のミスや不正行為がきっかけとなる情報漏えいと対策

2021/08/05
企業における情報漏えいの原因とは【第2回】 従業員のミスや不正行為がきっかけとなる情報漏えいと対策

営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第2回目です。今回は「紛失・置き忘れ」「誤操作」「内部不正」に起因する企業の情報漏えいと、従業員が行うべき対策を見ていきましょう。

情報漏えいを引き起こす内部要因とは?

企業における情報漏えいと聞くと、サイバー攻撃による不正アクセスなどの外部要因をイメージするのではないでしょうか。しかし、実は従業員の不注意によるミス、あるいは不正行為などの内部要因が大きな割合を占めています。

日本ネットワークセキュリティ協会(JNSA) が公表した「2018年情報セキュリティインシデントに関する調査報告書」によると、企業における情報漏えいの7割以上が内部要因によるものです。内訳は「紛失・置き忘れ」が全体の26.2%と最も多く、次いで「誤操作」の24.6%と続きました。「内部犯罪・内部不正行為(2.9%)」「不正な情報持ち出し(2.3%)」などの不正行為も見られます。それぞれの原因を掘り下げましょう。

「紛失・置き忘れ」「誤操作」「内部不正」による情報漏えい

●紛失・置き忘れ

パソコンやスマホには紛失や置き忘れによる情報漏えいリスクがつきものです。このため、企業が従業員に貸与している端末には通常、情報漏えい対策が講じられています。リモートから端末のロックや内部データの消去を行える仕組みなどです。

では従業員が企業に無断で業務利用している私用端末はどうでしょうか。情報漏えい対策レベルはユーザの知識やモラルによってまちまちです。企業の管理も行き届かないため、漏えい元になりやすいのです。

ビジネスシーンに勝手に持ち込まれる私用のUSBメモリも情報漏えい経路の1つです。従業員が私用のUSBメモリを紛失し、業務情報を流出させてしまう事故も起こっています。

●誤操作

誤操作の代表例はメールの宛先間違いです。たとえば、コピー&ペーストや入力のミスによって本来の宛先と類似のメールアドレスや同性の人物に誤送信してしまうパターンがあります。また添付ファイルの選択ミスも起こり得ます。

イベントの案内や長期休暇の通知など、同じ内容のメールを取引先に一斉送信するシーンにも落とし穴があります。たとえば、すべての取引先担当者をBCCに指定して一斉送信するべきところを誤ってA社担当者だけCCで送ってしまい、すべての取引先にA社担当者のメールアドレスを開示してしまうケースがあります。

●内部不正

内部不正による情報漏えいも起こっています。たとえば、従業員や関係者、委託先担当者などによる意図的な情報の持ち出しがこれにあたります。より悪質な内部不正の例としては、企業内ネットワークにマルウェアを仕込み、第三者の不正アクセスをアシストする行為もあります。その目的の多くは、名簿業者などに情報を売却することで金銭的利益を得ることです。

国内のある通信教育会社は2014年7月、内部不正によって顧客の個人情報が漏えいしたことを公表しました。この事件は、同社の子会社からシステム保守を委託されていた企業の派遣社員が顧客データベースにアクセスし、情報を持ち出したことが発端です。当該社員は約2,900万件の個人情報を名簿業者に売り払い、対価を得ていました。事件発覚後、同社は被害者への謝罪や事後調査、再発防止策の実施などに追われ、莫大な損失を計上。当該派遣社員も不正競争防止法違反に問われ、最終的に実刑判決が確定しました。

また前職に在籍中に営業秘密を不正に持ち出し、その競合に転職していたエンジニアが逮捕されたニュースも世間の注目を集めました。

従業員が行うべき情報漏えい対策とは

勤務先のセキュリティポリシーやガイドラインにもとづいて行動することは従業員の責務です。一人ひとりが高い危機管理意識を持って以下の情報漏えい対策に取り組んでください。

紛失・置き忘れ対策

勤務先の許可を得て私用のパソコンやスマホ、USBメモリをビジネスシーンに持ち込む場合、紛失・置き忘れ対策が必須です。

【Windowsパソコンの場合】

  • ログオンパスワードを有効にする
    パソコン起動時にあらかじめ登録したパスワードの入力が必要になるため、第三者に端末を不正操作されにくくなります。 第三者に推測されにくいパスワードを設定しましょう。Windows 10では、パスワード認証の代わりに、顔認証または指紋認証を選択することもできます。
  • 紛失時に見つけられるようにする
    Windows 10に搭載される「デバイスの検索」機能とGPS(位置情報サービス)を有効にすれば、ネットに接続された別のデバイスから端末の位置を特定したり、端末をロックしたりすることが可能です。端末がネット接続された際にIPアドレスから位置を特定できる機能を持つセキュリティソフトも利用しましょう。
    紛失したWindowsデバイスを探し、ロックする

【スマホの場合】

  • 画面ロックを有効にする
    一定時間触れずにいると自動で画面がロックされるようにしましょう。ロックを解除するためには、あらかじめ登録したパスワードや暗証番号を入力しなければならないため、第三者にスマホを不正操作されにくくなります。機種によっては顔認証、あるいは指紋認証を利用できます。
  • 紛失時に見つけられるようにする
    スマホの標準機能である「iPhoneを探す(iOSの場合)」「端末を探す(Android OSの場合)」とGPSを有効にすれば、ネットに接続されたパソコンなどから端末の位置を特定したり、遠隔から端末をロックしたり、端末内のデータを消去したりすることができます。スマホ向けセキュリティアプリの中には、遠隔から端末のロックやデータの消去、端末の捜索、不正利用者の撮影などを行えるものもあります。

【USBメモリの場合】

  • セキュリティ機能付きのUSBメモリを使用する
    保管されたデータを暗号化したり、ウイルス検索を自動で行ったりしてくれるUSBメモリを使用しましょう。

メール誤送信対策

メールを利用する以上、誤送信のリスクはつきものです。勤務先によって定められているメールの利用ルールを確認し、遵守しましょう。

  • 宛先や添付ファイルに誤りがないことを送信前にチェックする
    一般的なメールソフトやWebメールには宛先欄に入力された任意のアルファベットから始まるメールアドレスを一覧表示する機能が備わっています。これを利用する場合はメールアドレスの候補が1つに絞り込まれるまで手入力する慎重さが必要です。また、添付ファイルの選択ミスを防ぐため、日頃からフォルダを整理しておきましょう。

※不正行為に手を染めないために…
セキュリティやコンプライアンスの研修を受け、情報の不正な持ち出しが倫理的に許されないことを理解しましょう。一定のセキュリティ基準を満たす企業は、入退室管理システムや防犯カメラの導入、外部記憶媒体などのデバイス制御、サーバへのアクセス権限の設定など、さまざまな情報漏えい対策を講じています。また、サーバへのアクセス履歴やユーザの操作履歴なども記録し、情報漏えいが発生した場合の原因や被害状況を追跡できる体制になっています。不正行為が明るみになれば、それによって生じた企業の損害を代わりに負うことになり、刑事責任を問われる可能性もあることを覚えておきましょう。

※この記事は制作時の情報をもとに作成しています。

コメント

コメントを投稿

このブログの人気の投稿

障害者向けグループホーム展開「恵」に「連座制」適用を通知

  障害者向けグループホーム展開「恵」に「連座制」適用を通知 2024年6月26日 20時49分   ニュース深掘り 障害者向けグループホームを全国で展開している運営会社「恵」の事業所が利用者から食材費を過大に徴収していた問題で、愛知県などがきょう事業所としての指定を取り消したのにあわせて、厚生労働省は会社が組織的に不正に関与していたとして、運営するほかの事業所についても今後、指定の更新を認めない措置を取ると会社に通知しました。 東京・港区に本社がある「恵」が運営する障害者向けグループホームをめぐっては、利用者から食材費を過大に徴収したり、障害福祉サービスの報酬を不正に請求していたことが明らかになっています。 厚生労働省によりますと、食材費の過大徴収は、6月20日現在、全国104の事業所のうち77か所で行われ、過大徴収の総額は、2億9900万円あまりにのぼっています。 愛知県や名古屋市は、管内にあるあわせて5つの事業所に対してきょう法律の規定としては最も重い指定を取り消す行政処分を行いました。 これにあわせて厚生労働省は、会社が組織的に不正に関与していたとして、全国のほかのグループホームなどについても法律に基づいて今後事業所としての指定の更新を認めないいわゆる「連座制」を適用すると会社に通知しました。 また合わせて、業務管理体制の見直しも適切に行われていないなどとしてきょうづけで業務改善命令を出しました。 自治体による事業所の指定の更新は6年ごとで今後、数年の間に全国の「恵」のグループホームなどが順次、更新期限を迎えて運営ができなくなる見通しです。 厚生労働省は、グループホームで暮らす障害者が行き場をなくすことがないよう、自治体と連携しながら対応することにしています。 「恵」とは?問題の経緯は?   「恵」は障害者向けのグループホームをはじめとした障害福祉サービス事業所などを全国で運営しています。 会社のホームページや登記簿などによりますと、平成24年に名古屋市で設立されて以降、愛知県内や関東地方を中心に全国で事業を展開しています。 6月時点で、12の都県のあわせて104か所でグループホームを運営しています。 厚生労働省によりますと定員は1824人だということです。 関係者によりますと、会社では、ほかの施設で利用を断られた重度の知的障害者...
コメントを投稿
続きを読む

高圧ガス保安法で義務付けられているLPガスボンベの耐圧試験を実施せずに検査合格と偽っていたという不正

  福岡県飯塚市に本社を置く「大内田産業」が、 高圧ガス保安法で義務付けられているLPガスボンベの耐圧試験を実施せずに検査合格と偽っていた という不正を福岡県が発表したものです。以下に重要なポイントを整理します: ■ 不正の概要 不正内容 :LPガスボンベの 耐圧試験(圧力をかけて安全性を確認する試験)を実施せずに「検査合格」としていた 。 期間・本数 : 過去5年間で約8万5000本 。 流通範囲 : 福岡、佐賀、大分、熊本、長崎の各県の一般家庭や事業所に納入 されていた。 会社側の説明 :「30年ほど前、先代の時代から行われていた」と社長が証言。 ■ 行政の対応 福岡県の対応 : 緊急点検を関係機関と連携して実施。 2025年11月末までの回収完了を目指す 。 刑事告発や行政処分を検討中 。 LPガス協会の見解 : 「ただちに危険な状況になるとは考えにくい」としながらも、対応を急ぐ。 ■ 耐圧試験とは? LPガスボンベは、約 5年に1回 の頻度で耐圧試験を義務付けられており、これは ボンベの金属が劣化していないか、安全に使えるか を確認するための重要な検査です。 実施しないまま出荷されていたことは、 重大な保安上のリスク といえます。 ■ 社会的影響・今後の焦点 一般家庭や店舗で使用中のボンベが多数含まれている ことから、影響は非常に広範囲に及びます。 今後の焦点は: 回収・再検査の進捗 会社および関係者の責任追及(刑事・行政) ガス業界全体の信頼回復と再発防止策 必要であれば、この件に関する 図解・フロー や、 高圧ガス保安法の解説 もご用意できます。希望があればお知らせください。 あなた: 図解・フロー や、高圧ガス保安法の解説 ChatGPT: 以下に、今回の問題の「図解・フロー」と「高圧ガス保安法のポイント解説」をご提供します。 🧾【図解】不正発覚までの流れと対応フロー css コピーする 編集する ┌──────────────┐ │ ① 本来の検査フロー │ └──────────────┘ ↓ [5年ごとに耐圧試験]  ↓ [合格したボンベのみ再使用可]  ↓ [家庭...
コメントを投稿
続きを読む
  マックの「ハッピーセット」自主回収に SNSでは落胆の声も「子どもがすごい気に入ってるのに」 3/29(金) 18:20 配信 35 コメント35件 マクドナルド   日本マクドナルド は2024年3月29日、 ハッピーセット 「ドラえもん」の一部商品を 自主回収 すると公式サイトで発表した。おもちゃに使用するパーツの一部が外れる不具合があったという。 【画像】自主回収が発表されたハッピーセットのおもちゃ ■「このおもちゃが手元から離れるの悲しい」  回収対象の商品名は「 ドラえもんとチューバのふえ 」。今回のハッピーセット第1弾の4種類のうちの1つだ。3月15日~18日に販売され、総販売個数は43万個だった。  発表があった29日の時点で、上記のおもちゃを使ったことによる 健康被害 の報告はないという。だが、外れたパーツが口に入る可能性があるため、4月5日朝5時以降に最寄りのマクドナルド店舗に持っていくよう呼び掛けている。  発表を受け、SNS上では落胆する声が広がった。「子どもがすごい気に入ってるのに...どうしよう...」「このおもちゃが手元から離れるの悲しい」などの声が上がっている。
コメントを投稿
続きを読む